Tajne narzędzia hakerskie CIA z tzw. Vault 7 wykradziono przez błędy, jakie wielokrotnie miała popełniać ta agencja wywiadowcza w kwestiach własnego bezpieczeństwa - stwierdzono w raporcie opublikowanym przez demokratycznego senatora USA Rona Wydena.

Narzędzia hakerskie CIA zawarte w tzw. Vault 7 wyciekły w 2017 roku. Opublikowała je organizacja WikiLeaks wraz z innymi poufnymi danymi oraz dokumentami, które zostały wykradzione z jednej z wyizolowanych, chronionych złożonym systemem zabezpieczeń sieci. Według serwisu Ars Technica, zawartość Vault 7 należała do najbardziej chronionych tajemnic amerykańskiej Centralnej Agencji Wywiadowczej. Podczas wycieku ujawniono 34 terabajty poufnych informacji, co stanowiło największą utratę danych w całej historii agencji.

Zdaniem ekspertów pracujących nad raportem specjalnego zespołu powołanego przez CIA po wycieku, wydarzeniu temu można było zapobiec. Wyciek był możliwy ze względu na "przerażająco niedbałe" praktyki bezpieczeństwa CIA - uważają specjaliści. Jedną z głównych tez raportu jest brak należytej troski o bezpieczeństwo wewnątrz komórki znanej jako Centrum Cyberwywiadu (Center for Cyber Intelligence, CCI), która "priorytetyzowała rozwój własnych możliwości, mniej zaś interesowała się tym, by narzędzia te były bezpieczne i nie dostały się w niepowołane ręce".

Zespół ekspercki, którego celem było zbadanie sprawy wycieku, wykazał, że CIA popełniła wiele zaniedbań w kwestiach własnego bezpieczeństwa. Agencja m.in. nie nadała uprawnień audytowych do sprawdzania poziomu zabezpieczeń systemów żadnej osobie wewnątrz organizacji, a także nie zapewniła aktualizacji zabezpieczeń względem pojawiających się w krajobrazie zagrożeń nowych rodzajów ryzyka. "Nie nadążała również za rozwojem systemów informatycznych wewnątrz własnej struktury" - stwierdzono w raporcie.

Senator Ron Wyden przekazał raport w swoim liście do szefa Narodowych Służb Wywiadowczych Johna Ratcliffe'a we wtorek. Jak wskazał, "niedostateczne praktyki cyberbezpieczeństwa udokumentowane w raporcie dotyczącym wycieku z CIA do WikiLeaks wydają się problemem, który nie jest ograniczony jedynie do jednej z części społeczności wywiadowczej". Wyden w swoim liście skierował do Ratcliffe'a również zapytanie o to, dlaczego amerykańskie władze nie wprowadziły do tej pory obowiązku wdrożenia uwierzytelniania dwuskładnikowego na poziomie sieci wykorzystywanych przez administrację USA.

W połowie 2018 roku, jak przypomina Ars Technica, władze federalne zidentyfikowały byłego pracownika CIA jako osobę, która doprowadziła bezpośrednio do wycieku danych Vault 7. Mężczyzna nie przyznał się do winy, a jego obrona wskazała, że praktyki bezpieczeństwa CIA były na tyle wadliwe, że wielu pracowników organizacji z mniejszymi uprawnieniami dostępowymi mogło doprowadzić do wycieku tych poufnych danych.